FACULTAD INGENIERÍA DE SISTEMAS

GESTION DE SEGURIDAD INFORMATICA

Investigación de la base de datos MariaDB

Autor(es):

Jorge Luis Viloria Lora

TUTOR(A):

Onalvis Escudero

Montería, Córdoba, 2020

CARACTERISTICAS ¿EN QUE ASPECTOS DE SEGURIDAD MAS
PRINCIPALES CASOS RELEVANTES PARA TENER EN
DEBERIA CUENTA
MOS
CONSIDER
AR SU
USO?
 Certificados binarios. MariaDB se Instalación segura de MySQL
 Mejoras en la puede usar Este es el primer paso recomendado
instalación y en las en cualquier después de instalar el servidor MySQL,
actualizaciones. lugar donde para asegurar el servidor de la base de
 Disponibilidad antes se datos. Este script facilita la mejora de la
temprana de parches y usaba seguridad de su servidor MySQL al
actualizaciones de MySQL. pedirle que:
seguridad. Como se
 Servicio de trata de un set a password for the root account, if
notificaciones. sistema you didn’t set it during installation.
 Servicio técnico con compatible, disable remote root user login by
una respuesta máxima todo software removing root accounts that are
de 30 minutos. que antes accessible from outside the local host.
 Soporte para copias de usase remove anonymous-user accounts and
seguridad y MySQL es test database which by default can be
restauración. capaz de accessed by all users, even anonymous
seguir users.
 Copia de seguridad
funcionando # mysql_secure_installation
«en caliente»
igualmente Después de ejecutarla, establezca la
(mientras se usa la
con contraseña de root y responda a la serie
base de datos).
MariaDB. de preguntas ingresando [ Sí/Y] y
 Monitorización de la
Por tanto, se presione [Entrar].
base de datos.
puede usar
 Editor visual de las MariaDB en
entradas de la BD. cualquier Vincular el servidor de base de datos a
 Soporte de JSON proyecto de la dirección de bucle invertido
 Motor de nueva Esta configuración restringirá el acceso
almacenamiento creación, así desde máquinas remotas, le dice al
OQGRAPH como servidor MySQL que solo acepte
 Motor de intercambiar conexiones desde el host local. Puedes
almacenamiento MySQL por configurarlo en el archivo de
Spider MariaDB en configuración principal.
 Mejoras de velocidad prácticament
sobre todo en e todos los # vi /etc/my.cnf
consultas complejas proyectos [RHEL/CentOS]
cuando se usa el motor que puedan # vi /etc/mysql/my.conf
de almacenamiento estar ya en [Debian/Ubuntu]
Aria, ya que Aria producción. OR
cachea los datos de El paso es # vi /etc/mysql/mysql.conf.d/mysqld.cnf
tablas temporales en inmediato y [Debian/Ubuntu]
 memoria, lo que no requiere Agregue la siguiente línea debajo de la
supone un rendimiento cambiar nada sección [mysqld] .
frente al uso del disco en el código,
duro simplemente bind-address = 127.0.0.1
 Se añaden nuevas instalar
tablas de sistema MariaDB y Desactivar LOCAL INFILE en MySQL
(INFORMATION_SC volver a Como parte del fortalecimiento de la
HEMA) para crear las seguridad, debe desactivar local_infile
almacenar estadísticas bases de para evitar el acceso al sistema de
que nos pueden ayudar datos y tablas archivos subyacente desde MySQL
a optimizar las bases en el nuevo mediante la siguiente directiva en la
de datos. sistema. sección [mysqld] .
 El sistema para MariaDB se
manejar las puede usar local-infile=0
conexiones se ha desde la 4. Cambiar el puerto predeterminado de
mejorado, ya que mayoría de MYSQL
implementa el sistema los sistemas La variable Puerto establece el número
pool-of-threads de de de puerto de MySQL que se usará para
MySQL 6.0 con el que administració escuchar en las conexiones TCP/IP. El
podemos tener más de n existentes número de puerto predeterminado es
200.000 conexiones a para 3306 pero puede cambiarlo en la
MariaDB. MySQL, sección [mysqld] como se muestra.
como
PhpMyAdmi Port=5000
no 5. Habilitar el registro de MySQL
HeidiSQL, y Los registros son una de las mejores
es maneras de entender lo que sucede en
compatible un servidor; en caso de ataques, puede
con ver fácilmente las actividades
aplicaciones relacionadas con la intrusión de los
tan populares archivos de registro. Puede habilitar el
como registro de MySQL agregando la
WordPress, siguiente variable en la sección
Drupal, etc. [mysqld] .
La
compatibilid log=/var/log/mysql.log
ad es tal que 6. Establecer permiso apropiado en
muchas archivos MySQL
veces el uso Asegúrese de tener establecidos los
de MariaDB permisos adecuados para todos los
en lugar de archivos de servidor y directorios de
MySQL es datos de mysql. El archivo /etc/my.conf
transparente solo debe poder escribirse en la raíz.
para Esto impide que otros usuarios cambien
desarrollador las configuraciones del servidor de la
es o base de datos.
administrado
res de # chmod 644 /etc/my.cnf
sistemas. 7. Eliminar MySQL Shell History
Prueba de Todos los comandos que ejecuta en el
ello es que, shell de MySQL son almacenados por el
para arrancar cliente mysql en un archivo histórico:
los servicios ~/.mysql_history . Esto puede ser
de MariaDB, peligroso, ya que para cualquier cuenta
o para hacer de usuario que cree, todos los nombres
login en el de usuario y contraseñas ingresados en
sistema el shell se registrarán en el archivo
gestor por histórico.
medio de
línea de # cat /dev/null > ~/.mysql_history
comandos, se
usan los Definir usuarios de base de datos
mismos específicos de la aplicación
mecanismos Para cada aplicación que se ejecute en el
ya conocidos servidor, solo dé acceso a un usuario
en MySQL. que esté a cargo de una base de datos
para una aplicación determinada. Por
ejemplo, si tiene un sitio de wordpress,
cree un usuario específico para la base
de datos del sitio de wordpress de la
siguiente manera.

# mysql -u root -p
MariaDB [(none)]> CREATE
DATABASE osclass_db;
MariaDB [(none)]> CREATE USER
'osclassdmin'@'localhost' IDENTIFIED
BY '[email protected]%!2';
MariaDB [(none)]> GRANT ALL
PRIVILEGES ON osclass_db.* TO
'osclassdmin'@'localhost';
MariaDB [(none)]> FLUSH
PRIVILEGES;
MariaDB [(none)]> exit
y recuerde siempre eliminar las cuentas
de usuario que ya no administran
ninguna base de datos de aplicaciones
en el servidor.

10. Usar complementos y bibliotecas de

seguridad adicionales
MySQL incluye una serie de
complementos de seguridad para:
autenticar los intentos de los clientes de
conectarse al servidor mysql, validar
con contraseña y asegurar el
almacenamiento de información
confidencial, que están disponibles en la
versión gratuita.

Puede encontrar más aquí:

https://dev.mysql.com/doc/refman/5.7/e
n/security-plugins.html

11. Cambie las contraseñas de MySQL

regularmente
Este es un consejo común de
información/aplicación/seguridad del
sistema. La frecuencia con la que haga
esto dependerá completamente de su
política de seguridad interna. Sin
embargo, puede evitar que los
"fisgones" que pudieron haber estado
rastreando su actividad durante un largo
período de tiempo, obtengan acceso a su
servidor mysql.

MariaDB [(none)]> USE mysql;

MariaDB [(none)]> UPDATE user SET
password=PASSWORD('YourPassword
Here') WHERE User='root' AND Host
= 'localhost';
MariaDB [(none)]> FLUSH
PRIVILEGES;
12. Actualice el paquete del servidor
MySQL regularmente
Es altamente recomendable actualizar
los paquetes mysql/mariadb
regularmente para mantenerse al día con
las actualizaciones de seguridad y las
correcciones de errores, desde el
repositorio del proveedor.
Normalmente, los paquetes en los
repositorios predeterminados del
sistema operativo están desactualizados.

# yum update
# apt update
Después de realizar cualquier cambio en
el servidor mysql/mariadb, siempre
reinicie el servicio.
# systemctl restart mariadb
#RHEL/CentOS
# systemctl restart mysql
#Debian/Ubuntu